Moin,

Dann hast du vielleicht die Frage falsch oder unklar gestellt? :)

Ich glaubs auch langsam ;)

ja, zumindest am Anfang. Da hast du im Titel von "Dateiupload und Sicherheit" gesprochen, im Beitrag selbst aber nur Maßnahmen für den Dateidownload vorgestellt. Deswegen war ich ja dann auch auf der falschen Fährte und habe gesagt, das hätte nichts mit der Frage zu tun.

Schaden am Server wird so ohne weiteres nicht möglich sein

Denke ich auch. Man könnte jetzt anfangen, Angriffsszenarien zu konstruieren: Angenommen, ein manipuliertes JPEG-Bild enthält in einem Freitext-Feld des EXIF-Blocks PHP-Code. Muss nicht viel sein, ein include (auf Verdacht von einem anderen HTTP-Server, könnte ja mal funktionieren) würde schon genügen. Übliche Testmethoden würden diese JPEG-Datei als korrekt durchgehen lassen, sie lässt sich auch mit sämtlichen Programmen anzeigen und bearbeiten.
Damit der PHP-Code beim Ausliefern per HTTP ausgeführt wird, müsste nun noch eine Fehlkonfiguration des Webservers dazukommen. Zum Beispiel die Einstellung, dass alle Dateien im Verzeichnis durch den PHP-Parser gejagt werden. Wenn das Bild dann von einem Client angefordert wird, wird der sich eventuell über den unpassenden MIME-Typ beklagen, aber in dem Moment ist der Schaden am Server schon passiert.

Zugegeben, das ist vielleicht an den Haaren herbeigezogen - aber nicht unmöglich.

allerdings würde ich dir aus Prinzip raten PHP für dieses Verzeichnis auszuschalten (z.B. via php_flag engine off in der .htaccess).

Hab ich ja.

Genau, dann kann eigentlich nicht mehr wirklich viel passieren.

Würde dann doch aber im Umkehrschluß bedeuten, dass meine Ausgangsfrage eindeutig mit JA zu beantworten wäre, oder?

Eindeutig? Weiß ich nicht.
Aber "sehr wahrscheinlich ja".

Ciao,
 Martin